گفتگو با باب دیاچنکو که درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام را گزارش کرد

درباره این‌که داده‌ها شامل چه اطلاعاتی بوده، گزارش‌هایی منتشر شده اما درباره روش جمع‌آوری آنها کمتر کسی می‌داند. می‌توانید بگویید این داده‌ها را چطور و کجا پیدا کردید؟

یکی از کارهای همیشگی من کندوکاو محیط‌های عمومی اینترنت و بررسی داده‌هایی است که روی این فضاهای عمومی در اینترنت قرار داده می‌شوند.

من هکر نیستم. کار من زیر نظر گرفتن جریان داده‌هایی است که دیتابیس‌های باز و بدون حفاظت منتشر می‌شوند. منظورم از این دیتابیس‌ها جاهایی مثل نتایج موتورجست‌وجوست. گاهی در بررسی‌هایم و هنگام جست‌وجو در اینترنت به داده‌هایی برمی‌خورم که نیاز به حفاظت دارند.

داده‌های اخیر را روز ۲۱ ماه مارس (یکم فروردین‌ماه)‌ وقتی در موتور جست‌وجوی «باینری‌اج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «داده‌های متن‌باز» کار می‌کردم. این اطلاعات در یک فضای قابل‌جست‌وجو قرار گرفته بودند و برای دسترسی به داده‌های آنها هیچ رمز عبوری قرار داده نشده بود.

درباره صاحب این داده‌ها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این داده‌ها مطالب متفاوتی منتشر شده است. شما دراین‌باره به چه اطلاعاتی برخوردید.

پروژه‌های من به این ترتیب جلو می‌روند: در حین جست‌وجو در فضاهای عمومی اینترنت وقتی به داده‌های عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمی‌خورم، آنها را برای آنالیزهای بیشتر در آینده جمع‌آوری می‌کنم.
اگر در میان این داده‌ها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیت‌پذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی در دسترس قرار داده) تماس می‌گیرم. جریان را به آنها اطلاع می‌دهم. دراین تماس، کمک‌شان می‌کنم تا برای محافظت از داده‌های خصوصی‌شان اقدامات امنیتی خاصی را انجام بدهند.
من در روز ۲۴ مارس بعد از این‌که مطمین شدم داده‌های حساسی وجود دارند، با تامین‌کننده خدمات هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی هاست برداشته شد. اما هاست همچنان فعالیت می‌کرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد. روشن نیست که چه کسی داده‌ها را در اختیار دارد. چون داده‌ها برروی یک سرور ابری ناشناس قرار داده شده بود. فقط می‌توانم تایید کنم که این داده‌ها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبت‌ّهایی که در توییتر با سامانه «مرکز ماهر»‌داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس،‌ سرور روشن بود اما بانک داده از روی آن برداشته شده بود.
 

گفتید که اطلاعات را در هنگام جست‌وجو در اینترنت پیدا کرده‌اید. فضایی که در آن داده‌های تلگرام را پیدا کرده‌اید، چقدر برای مردم عادی قابل‌دسترس است؟
این داده‌ها در فضای عمومی اینترنت و برای همه در دسترس هستند. این داده‌ها در یک فضای قانونی قرار داده شده‌اند نه مثلا در جایی که به عنوان دارک‌نت (نت تاریک)‌ معروف شده و برای دسترسی به آن از ابزارهای خاصی باید استفاده کرد. دسترسی به این داده‌ها دانش فنی خاصی نمی‌‌خواهد و برای هرکسی با مرورگرهای عادی امکان پذیر است. موتور جست‌وجویی که من در آن اطلاعات تلگرام را پیدا کردم، چیزی شبیه گوگل است، منتهی با تمرکز روی «اینترنت اشیاء» یا IoT .

تقریبا همزمان با درز این داده‌ها،‌ خبر مشابه دیگری هم که مربوط به داده‌های یک شرکت در ایران بود، پخش شد. به نظرتان این همزمانی دلیل خاصی داشت یا این دو مورد، شباهتی به هم داشتند؟
 فکر نمی‌کنم این درز اطلاعاتی که ناشی از پیکربندی غلط بودند، به هم ارتباطی داشتند یا از روی قصد و غرض بوده باشد. به نظرم مشکل فقط ناشی از یک جور ایراد در تنظیمات است. در تمام این موارد که گفتم، رعایت نکردن قواعد پیکربندی باعث شده چنین مشکلی پیش بیاید و ما در اصطلاح فنی به آن «پیکربندی غلط داده» می‌گوییم. به زبان ساده‌تر در تمام این موارد داده‌ها بدون هیچ رمز عبوری در یک فضای عمومی قرار دارند.

این که اطلاعات مهم و حساس بدون پسورد در فضاهای عمومی قرار داشته باشند، چقدر در دنیا معمول است؟
قراردادن داده‌های حساس در یک دیتابیس در تمام دنیا یک اتفاق معمول است. اما نکته اینجاست که باید ازاین داده با دست‌کم رمز عبور حفاظت کرد و مطمئن شد که این اطلاعات در دامنه‌های عمومی در دسترس نیستند. متاسفانه این اشتباه در تمام دنیا زیاد از حد رخ می‌دهد و مربوط به یک جغرافیای خاص هم نیست. این‌که خیلی‌ها یادشان می‌رود از اطلاعات‌شان محافظت کنند.
حدود یک سال قبل هم یک درز داده بزرگ مربوط به ایران را پیدا کردم و گزارش دادم. در آن زمان اطلاعات مربوط به یک تاکسی اینترنتی در ایران بود که در شرایط حفاظت‌نشده‌ای قرار داشت. آنجا هم داده‌ها پسورد نداشتند.